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(54) DISPOSITIF DE CONTROLE DU FONCTIONNEMENT D'UN SYSTEME ELECTRONIQUE EMBARQUE A BORD 
^ D'UN VEHICULE AUTOMOBILE. 

feT) Ce dispositif comportant une unite de traitement d'in- 

faffriations a base de nnicro-controleur (2) associe a des 3 
nnoyens de memorisation (3) comportant des zones de / 
stockage de codes correspondant a differents programmes / 
executables par le micro-controleur et, pour chaque pro- 
gramme executable, au moins une zone de stockage de 
donnees accessible en echture et/ou en lecture par le 
micro-controleur, est caracterise en ce qu'il comporte des 
moyens (6) de controle en dynamique des acces par le 
micro-controleur (2) aux zones de stockage pour engen- 
drer un signal d'erreur en direction de moyens de traite- 
ment d'erreurs (8) en cas de tentative d'acces ou d'acces 
du micro-controleur a des zones non-autorisees. 
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La presente invention concerne un dispositif de 
controle du f onctionnement d * un systeme electronique 
embarque a bord d'un vehicule automobile. 

Plus particulierement, la presente invention 
concerne un dispositif du type comportant une unit6 de 
traitement d ' informations a base de micro-contr61eur 
associe ^ des moyens de memorisation comportant des zones 
de stockage de codes correspondant a differents programmes 
executables par le micro-controleur et, pour chaque pro- 
gramme executable, au moins une zone autorisee de stockage 
de donnees accessible en ecriture et/ou en lecture par le 
micro-controleur . 

Ce type de systemes electroniques a ete d6ve- 
loppe dans I'etat de la technique pour permettre 1' utili- 
sation d'un nombre limite d' unites de traitement d* infor- 
mations remplissant differentes fonctions de controle de 
differents organes fonctionnels du vehicule, tels que par 
exemple les moyens de suspension de celui-ci, les moyens 
de controle du f onctionnement du moteur de celui-ci, 
etc • . . 

Cependant, le developpement important de ces 
systemes embarques fait considerablement croitre la taille 
du logiciel correspondant, qui devient ainsi un consti- 
tuant critique dans ces systemes. De plus, dans de nom- 
breuses applications, ayant des niveaux de criticite 
differents, plusieurs fonctions sont amenees a cohabiter 
sur un meme support physique, c'est-a-dire sur une meme 
unite de traitement d ' informations . 

Or, les unites de ce type peuvent etre pertur- 
bees par 1 ' environnement du vehicule, c'est-a-dire par 
exemple par des champs electriques ou des champs electro- 
magnetiques, la temperature, I'humidite de I'air, ou 
encore des secousses liees a des inegalites de la route, 
etc. . . . 
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Dif ferentes securites doivent alors et:re envisa- 
gees et ce d'autant plus que certaines fonctions, comme 
par example celle liee au freinage, sont plus critiques 
que d'autres, comme par exemple celle liee S I'eclairage 
interieur du vehicule. 

Ces securites doivent mettre en oeuvre des 
tectiniques de securisation du f onctionnement du systSme. 

Cependant, toutes les techniques connues de 
tolerances aux fautes logicielles par diversification et 
de segmentation memoire par controleur MMU (Memory Manage- 
ment Unit) ne sont pas utilisables. En effet, ces techni- 
ques, efficaces lorsque 1 ' application est repartie sur des 
supports physiques differents, ce qui est le cas par 
exemple des systemes embarques de I'avionique, ne sont pas 
adaptees a la problematique des vehicules automobiles car 
la contrainte de cout est beaucoup plus forte. 

Du fait de cette forte contrainte de cout, les 
systemes embarques a bord des vehicules automobiles 
doivent etre du type monoprocesseur . Une solution envisa- 
geable est alors le VCP (vital coded processor) utilisfe 
dans le domaine ferroviaire. Cependant, cette approche 
basee sur un concept de redondance purement information- 
nelle n'est pas adaptee aux applications automobiles. En 
effet, 1 * introduction d * un code arithmetique pour chaque 
donnee memoire est beaucoup trop contraignante au- 
jourd'hui, en terme de place memoire et par consequent en 

terme de cout • 

Cette technique d' analyse de signature utilisee 
par le VCP detecte les erreurs de sequencements et les 
erreurs de memorisation. L ' utilisation de cette technique 
impose alors un programme deterministe fonctionnant par 
cycle au cours duquei la signature globale, calculee en 
ligne, est comparee a une signature de reference. Cette 
technique d' analyse de signature est efficace lorsque le 
programme comporte peu de boucles. En effet, dans le cas 
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ou il existe des boucles, des sauts, ou encore des inter- 
ruptions etc..-, il est necessaire de rajouter des signa- 
tures d' ajusteinent, indispensables pour obtenir una 
invariance sur la signature globale, 
5 Or, beaucoup d ' applications automobiles, coimne 

les systemes de multiplexage par exemple, utilisent de 
nombreuses manipulations de donnees de type bits, ce qui 
entraine une utilisation considerable d * instructions de 
type "test et branchement " . L ' utilisation de la technique 

10 d* analyse de signature dans ces conditions necessite alors 
d'incorporer un tres grand nombre de signatures d'ajuste- 
ment qui consonunent une place memoire importante. 

De plus, 1 * utilisation de ces techniques neces- 
site 1 'utilisation d'outils specif iques et en particulier 

15 d'un logiciel pour le calcul des signatures de reference. 

Toutes les contraintes specif iques au secteur 
automobile rendent des lors ce type de mecanismes tres 
difficile a implanter et a gerer pour des syst6mes tels 
que le controle du f onctionnement d'un moteur, le controle 

20 du f onctionnement d ' une boite de vitesse automatique ou 
encore le controle du f onctionnement d'un calculateur de 

multiplexage carrosserie, etc 

La cohabitation dans une meme unite de traite- 
ment d ' informations de fonctions avec des niveaux de 

25 criticite differents rend d ' autant plus difficile la 
maitrise de la surete de f onctionnement de ces syst&nes 
embarques . 

De ce fait, il est necessaire de developper un 
dispositif de controle specifique pour le test en ligne 
30 qui permet de resoudre les differents problemes evoqu6s 
precedemment . 

A cet effet, 1 ' invention a pour objet un dispo- 
sitif de controle du f onctionnement d'un systeme electro- 
nique embarque a bord d'un vehicule automobile, du type 
35 comportant une unite de traitement d ' informations a base 
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de micro-controleur associe a des moyens de memorisation 
comportant des zones de stockage de codes correspondant ^ 
differents programmes executables par le micro-controleur 
et pour chaque programme executable, au moins une zone de 
stockage de donnees accessible en ecriture et/ou en 
lecture par le micro-controleur, caracterise en ce qu'il 
comporte des moyens de controle en dynamique des acces par 
le micro-controleur aux zones de stockage pour engendrer 
un signal d'erreur en direction de moyens de traitement 
d'erreurs, en cas de tentative d ' acces ou d ' acces du 
micro-controleur a des zones non-autorisees - 

Les moyens de controle peuvent en outre etre 
agences pour valider ou non 1 ' acces a une zone de stocka- 
ge . 

Avantageusement , les moyens de controle compor- 
tent des moyens de comparaison d ' informations d ' acces & 
des informations de reference predeterminees associees aux 
zones de stockage. 

L* invention sera mieux comprise a 1 ' aide de la 
description qui va suivre donnee uniquement ^ titre 
d'exemple et faite en se referant aux dessins annexes sur 
lesquels : 

- la Fig. 1 represente un sch6ma synoptique 
illustrant la structure generale d * une unite de traitement 
d ' informations ; 

- la Fig. 2 illustre de fagon generale un schema 
synoptique montrant 1 ' implantation d * un dispositif de 
controle selon 1 ' invention; 

- la Fig. 3 illustre les differents accds dans 
un tel dispositif; 

- la Fig. 4 represente un schema synoptique 
illustrant le f onctionnement d * un tel dispositif; 

- la Fig. 5 represente un tableau illustrant un 
exemple de realisation d ' un descripteur utilise dans un 
dispositif de controle selon 1' invention; et 
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- la Fig. 6 represente un schema synoptique 
illustrant les dif ferents elements entrant dans la consti- 
tution d'un dispositif de controle selon I'invention* 

Ainsi qu'on peut le voir sur les Figs. 1, 2 et 
3, un dispositif de controle selon 1 ' invention permet de 
controler le f onctionnement d ' un systeme electronique 
embarque a bord d'un vehicule automobile, qui comporte une 
unite de traitement d ' informations designee par la r6f6- 
rence genSrale 1 a base de micro-controleur d6signe par la 
reference generale 2 associe a des moyens de memorisation 
designes par la reference generale 3. Ces moyens de 
memorisation comportent des zones de stockage de codes 
correspondant a differents programmes executables par le 
micro-controleur et pour chaque programme executable, au 
moins une zone de stockage de donnees, accessible en 
ecriture et/ou en lecture par le micro-controleur - 

Les zones de stockage de codes correspondant aux 
differents programmes executables par le micro-controleur 
sont designes par la reference generale 4 sur la Fig. 3, 
tandis que les zones de stockage des donnees accessibles 
en ecriture et/ou en lecture par ce micro-controleur sont 
design6es par la reference generale 5 sur cette figure- 

C'est ainsi qu'une zone de programme A a accSs 
a deux zones de stockage de donnees Al et A2, tandis 
qu'une zone de programme B a acces a deux zones de stoc- 
kage de donnees Bl et B2, 

Selon 1' invention, le dispositif de controle 
comporte des moyens de controle en dynamique des acces par 
le micro-controleur aux zones de stockage de codes et de 
donnees, pour engendrer un signal d ' erreur en direction de 
moyens de traitement d'erreurs, en cas de tentative 
d' acces ou d* acces du micro-controleur a des zones non- 
autorisees . 
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Dans I'exemple decrit ici, les moyens de con- 
trole sont en outre agences pour valider ou non les acc6s 
aux zones de donnees . 

Sur la figure 2, ces moyens de controle sont 
5 appeles CAM (Controleur d'Acces M6moire) et designes par 
la reference generale 6 et comprennent par exemple une 
zone de descripteur designee par la reference generale 7 
sur la Fig. 3, qui sera decrite plus en detail par la 
suite, tandis que les moyens de traitement d'erreurs sont 

10 designes par la reference generale 8 sur la Fig, 2. 

Ce dispositif permet alors par comparaison 
d* informations d * acces a des informations de reference 
(descripteur) d' assurer une protection memoire entre les 
differentes zones de codes correspondant a des logiciels 

15 qui ont des niveaux de criticite differents. 

En effet, les principaux risques inherents a la 
cohabitation de plusieurs logiciels sur un meme support 
concernent 1* alteration illicite d * informations utilisees 
par un logiciel critique ou 1* activation illicite d'une 

20 partie de son code a partir d * un logiciel non critique. L»e 
principe de prevention mis en oeuvre par le present 
dispositif repose sur 1 ' utilisation de cles d ' acces ^ des 
zones mfemoire. Ainsi, a chaque zone de code programme 
definie, deux zones memoire specif iques sont accessibles 

25 en lecture et/ou en ecriture. Ceci permet ainsi de confi- 
ner des zones d * acces en fonction de la criticite d ' un 
logiciel- La verification des droits d ' acces est alors 
effectuee en dynamique par le dispositif selon 1 • invention 
qui engendre une alarme des que le logiciel execute n'est 

30 pas ou n'est plus dans la zone predefinie ou qu'une 
tentative d' acces a une zone memoire interdite est detec- 
tee . 

Ce dispositif est avant tout un dispositif de 
surveillance et 1 ' utilisation de ce dispositif n'est pas 
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permanente mais s'effectue a la demande de maniere a 
controler 1' execution de certaines zones de code. 

Ce dispositif permet alors de completer effica- 
cement les mecanismes deja connus dans 1 ' etat de la 
5 technique, tels que les auto- tests ; etc. . . 

Afin d'optimiser les ressources materielles du 
systeme, une seule cle, c'est a dire un descripteur 
unique, peut etre utilisee a la fois. L' ensemble des 
descripteurs necessaires a 1 * utilisation et a la protec- 

10 tion des zones memoire est implante de fagon logicielle 
dans le dispositif. Chaque structure de donnees est 
protegee par I'adjonction d ' un code de compaction qui 
represente sa signature propre. La structure de donn6es 
est transferee vers 1' unite de traitement lors d'une 

15 demande d ' utilisation du dispositif, Les zones de protec- 
tion peuvent ainsi etre allouees dynamiquement en fonction 
des besoins des ressources memoire. 

Sur la base du principe represente sur la Fig. 
3^ la Fig. 4 represente une premiere structure fonction- 

20 nelle generale du dispositif de controle selon 1 ' inven- 
tion. 

Trois blocs fonctionnels principaux peuvent etre 
discernes. Le premier bloc est un bloc de gestion d&signg 
par la reference generale 9 qui est active lors de la 

25 reception d ' un acces . 

Lorsqu*il s'agit d ' un acces au dispositif de 
controle, ce bloc de gestion 9 transfere la donnee regue 
vers un bloc d' analyse et de calcul de signature d6sign6 
par la reference generale 10. 

30 Ce dernier met en forme le descripteur regu et 

calcule en ligne la signature attendue. Si la signature 
n'est pas correcte, alors une erreur est engendr6e. 
Lorsque 1 ' acces concerne une zone programme, chaque 
adresse d * instruction est positionnee dans adr-Prg. De la 
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meme fagon, chaque demande d ' acces a une zone de variables 
est positionnee dans adr-var. 

Le bloc de gestion 9 engendre le signal ACTIVE 
qui verifie en direct la demande d' acces. Si la demande 
d' acces a une zone de donnees est correcte, un bloc VALIDE 
11 autorise 1' acces, sinon 1 ' acces est bloque et/ou une 
erreur est engendrfee en direction des moyens de traitement 
d'erreurs. Si la demande d' acces pour 1' execution d'une 
zone programme est incorrecte, alors une erreur est 
engendree en direction des moyens de traitement d'erreurs. 

On congoit alors que les trois entites concer- 
nees par le dispositif de controle sont le micro-contro- 
leur 2, les moyens de memorisation 3 et les moyens de 
traitement d'erreurs 8. 

La variable caracteristique du micro-contrdleur 
est 1 • information ACCES. Celle-ci est emise par le micro- 
controleur lorsqu'il desire acceder ^ 1 ' un de ses p6riph6- 
riques . 

La variable caracteristique des moyens de 
memorisation est le signal correspondant a la validation 
de 1 ' acces memoire . 

Enfin, la variable qui caracterise les moyens de 
traitement d'erreurs est la variable ERREUR engendr6e par 
le dispositif pour indiquer un acces non autoris6 aux 
moyens de memorisation (interruption et levee d'un drapeau 
( flag) ) - 

Le micro-controleur est couple au dispositif de 
controle des acces memoire par 1 ' intermediaire de la 
variable ACCES. Cette information comporte plusieurs 
champs qui seront definis plus en detail par la suite, 
Physiquement, ces champs sont transmis par les bus de 
donnees, d ' adresse et de controle du micro-controleur. 

Le comportement des moyens de memorisation est 
purement passif et ceux-ci regoivent ou emettent des 
donnees a la demande du micro-controleur. 
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Ceci est egalement le cas des moyens de traite- 
ment des erreurs dont le role est de reagir au signal 
d'erreur. En pratique, les moyens de traitement d' erreurs 
doivent etre vus comme un mecanisme de gestion des inter- 
5 ruptions du micro-controleur . A 1 ' occurrence d'une erreur 
une interruption est engendree, ce qui provoque le d6rou- 
tement du f onctionnement de ce micro-controleur vers un 
progranune specif ique de fa<;on classique. 

On congoit alors que le role du dispositif de 
10 controle est de filtrer les acces du micro-controleur aux 
moyens de memorisation, Ce dispositif a tout pouvoir pour 
censurer un acces memoire lorsqu'il est interdit. La 
validation de 1 ' acces s'effectue par comparaison des 
droits d' acces a une reference appelee precfedemment 
1 5 descr ipteur . 

Le mode de chargement de cette reference importe 
peu pour la comprehension du f onctionnement du dispositif, 
mais dans ce cas on pourra noter qu'il s'effectue par 
ecriture successive dans un espace memoire du dispositif, 
20 reserve au stockage des informations de descr ipteur. 

En fait, les moyens de controle comportent des 
moyens de comparaison d ' informations d ' acces S des infor- 
mations de reference predeterminees associees aux zones de 
stockage. 

25 Ces informations de reference sont stock6es de 

preference dans des moyens de memorisation des moyens de 
controle et les informations d' acces et les informations 
de reference peuvent etre des adresses d ' acces aux zones 
de stockage- 

30 Trois types de comparaison peuvent alors etre 

mis en oeuvre et evalues. 

Le premier type de test concerne la validation 
de la sortie, c'est-a-dire de I'acces, si la valeur d'en- 
tree est comprise dans un intervalle autorise, c'est-a- 
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dire entre une reference minimum ( adresse basse) et une 
reference maximum (adresse haute )- 

Le format du descripteur pour une adresse 
(programme ou variable) est alors de deux mots par example 
de 16 bits comportant une adresse haute et une adresse 
basse . 

Le second type de test concerne la validation de 
la sortie si la valeur d* entree est comprise entre une 
reference minimum (adresse basse) et cette reference 
minimum additionnee d'un decalage variable (adresse basse 
plus decalage ) • 

Le format du descripteur pour une adresse est 
alors d'un mot de 16 bits par exemple (adresse basse) et 
un mot de 8 bits (decalage). 

Le troisieme type de test concerne la validation 
de la sortie si la valeur d' entree est comprise entre une 
reference minimum et cette reference minimum additionnfee 
d'un decalage fixe. 

Le format du descripteur pour une adresse est 
alors d'un mot de 16 bits (adresse basse) tandis que le 
format du decalage est fixe une fois pour toute. 

Deux criteres guident le choix de 1 * un ^de ces 
trois types de test, ces criteres etant 1 ' encombrement et 
la rapidite. 

Plus 1 • encombrement est faible, plus grande est 
la probabilite d'integrer toutes les fonctions dans un 
meme composant . Plus un algorithme est rapide, meilleures 
sont les chances d'obtenir un resultat probant dans une 
application ou le facteur temps est crucial. II est d 
noter qu'une methode favorise souvent 1 * un au detriment de 
1 ' autre - 

En plus des informations de definition des zones 
d' adresse, le descripteur comporte egalement des informa- 
tions pour la definition des droits d'acc6s aux zones de 
variables, celles-ci pouvant etre les quatre bits de poids 
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faibles pour les droits d'acces de la zone de variables 1 
et les quatre bits de poids forts pour les droits d'acces 
de la zone de variables 2 et une information de somme de 
controle "Checksum" pour la verification de la validite du 
descripteur apres son chargement. 

Au vu de ceci, les deux derniers types de test 
decrits pr6cddenunent presentent 1 ' inconvenient de necessi- 
ter une addition. Or, cette operation est tr6s consomma- 
trice en temps et en cellules. Le premier type de test 
etablit un bon compromis entre les deux criteres, le 
pourcentage d' occupation du circuit est plus faible et le 
temps de reaction est tout a fait correct. II ne faut 
toutefois pas oublier son inconvenient principal qui 
concerne le fait que le descripteur presente globalement 
un encombrement plus important. Par consequent, si 11 est 
modifie tres souvent, le temps du micro-controleur consa- 
cre a I'ecriture des champs augmentera consid6rablement . 

Le format retenu pour le descripteur est alors 
par exemple celui donne dans le tableau de la Fig. 5. 

Une zone programme (Prog) ou variable (Var 1 ou 
var 2) est d61imit6e par son adresse basse et son adresse 
haute. Celles-ci comportant deux octets par exemple, les 
poids forts (PFO) et les poids faibles (PFA) doivent 6tre 
d^finis successivement pour chacune d'elles. 

Les informations Var i-type-autorise et Var 2- 
type-autorise definissent respectivement les types d'acc6s 
autorises aux zones correspondantes , c'est a dire lecture, 
ecriture ou lecture/ecriture pour les zones de variables 
1 et 2. 

Sur la Fig. 6, on a represents de fagon plus 
precise 1- organisation d ' un dispositif de controle selon 
1 ' invention. 

Ce dispositif se decompose en cinq blocs fonda- 
mentaux, a savoir un bloc de controle et de gestion de 
descripteur designe par la reference generale 12, qui 
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comporte un algorithme de gestion du chargement de la 
variable descripteur et qui genere les signaux de commande 
necessaires a la memorisation des zones d'adresse et des 
droits d*acc6s dans les blocs Comp-Prog, Comp-Var 1 et 
5 Comp-Var 2, designee par les references 13, 14 et 15. 

Le bloc Comp-Prog 13 comprend les registres de 
stockage des adresses de definition de la zone programme 
du descripteur. Lors de 1* execution d'une instruction 
(cycle code op6ratoire ou Opcode), il genere un signal qui 

10 indique si I'adresse presente sur le bus d'adresse est ou 
non comprise dans la zone programme autorisee. 

Les blocs Comp-Var 1 et Comp-Var 2 sont identi- 
ques et comprennent respect ivement les registres de 
stockage des adresses de definition des zones de variables 

15 1 et 2. lis fournissent egalement les signaux qui indi- 
quent si 1 ' adresse d * acces aux moyens de memorisation 
presente sur le bus d'adresse se situe dans les zones de 
variables autorisees et si les droits d' acces sont respec- 
tes. Pour ajouter une zone de variable supplementaire au 

20 descripteur il suffit de creer un autre bloc Comp-Var N 
portant la reference 16. Les blocs presentes precedemment 
ne sont pas modifies. 

Le bloc de sorties 17 met en forme les signaux 
issus des blocs de comparaison pour fournir les signaux 

25 VALIDE ACCES ou ERREUR, exploitables par les moyens de 
memorisation et le micro-controleur . 

Le f onctionnement de ce dispositif est control^ 
par le micro-controleur par 1 ' intermediaire d ' un bloc de 
supervision 18 qui a pour role d' assurer 1* activation ou 

30 la desactivation de ce dispositif en fonction des requetes 
du micro-controleur , 

On congoit alors que dans le dispositif selon 
1* invention les moyens de controle sont adaptes pour 
comparer des informations d' acces, telle qu ' une adresse, 

35 a des informations de reference pour determiner si ces 
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informations d'acces correspondent a des zones memoire 
accessibles, 

Ceci permet d' assurer une protection des zones 
memoire centre des acces non autorises et d*ameliorer la 
fiabilite de f onctionnement du systeme. 

Le dispositif objet de 1' invention presente des 
avantages particulierement interessants dont le principal 
est de ne necessiter qu'une faible surface de silicium, ce 
qui d'une part, reduit le cout de 1 * installation et, 
d' autre part, facilite son integration dans un micro- 
controleur, ce qui le rend particulierement bien adapt6 
pour des applications automobiles - 

Enfin, on notera que les moyens de controle 
peuvent etre disposes d ' un maniere quelconque, par exemple 
integres au micro-controleur ou dans la memoire ou encore 
comme un peripherique externe. 
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RKVENDICATIQNS 
!• Dispositif de controle du f onctionnement d'un 
systeme electronique embarque a bord d'un vehicule automo- 
bile, du type comportant une unite (1) de traitement 
d ' informations a base de micro-controleur (2) associ6 d 
des moyens de memorisation (3) comportant des zones (4) de 
stockage de codes correspondant a differents programmes 
executables par le micro-controleur et, pour chaque pro- 
gramme executable, au moins une zone (5) de stockage de 
donnees accessible en ecriture et/ou en lecture par le 
micro-controleur, caracterise en ce qu'il comporte des 
moyens ( 6 ) de controle en dynamique des acc6s par le 
micro-controleur (2) aux zones de stockage, pour engendrer 
un signal d'erreur en direction de moyens de traitement 
d'erreurs (8) en cas de tentative d ' acces ou d'acces du 
micro-controleur a des zones non-autorisees . 

2. Dispositif selon la revendication 1, caract6- 
rise en ce que les moyens de controle (6) sont en outre 
agences pour valider ou non 1 * acces a une zone de stocka- 
ge. 

3. Dispositif selon la revendication 1 ou 2, 
caracterise en ce que les moyens de controle comprennent 
des moyens (9, 10, 11, 12, 13, 14, 15, 16) de comparaison 
d ' informations d'acces a des informations de reference (7) 
predeterminees associees aux zones de stockage. 

4. Dispositif selon la revendication 3, caracte- 
rise en ce que les informations de reference sont stock6es 
dans des moyens de memorisation (13, 14, 15,16) des moyens 
de controle . 

5. Dispositif selon la revendication 3 ou 4, 
caracterise en ce que les informations d'acces et les 
informations de reference sont des adresses d'acces aux 
zones de stockage - 

6. Dispositif selon la revendication 5, caracte- 
rise en ce que les moyens de comparaison sont adaptes pour 
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determiner si 1 * adresse d ' acces est comprise dans un 
intervalle autorise, 

7. Dispositif selon la revendication 6, caract6- 
rise en ce que ledit intervalle autorise est determine S 
partir des informations de reference qui comprennent une 
adresse basse et une adresse haute. 

8. Dispositif selon la revendication 6, caract6- 
rise en ce que les informations de reference comprennent 
une adresse basse et une valeur de decalage d' adresse et 
en ce que les moyens de comparaison sont adaptes pour 
determiner si 1' adresse d ' acces est comprise entre I'a- 
dresse basse et 1' adresse basse plus la valeur de decala- 
ge. 

9. Dispositif selon la revendication 8, caracte- 
rise en ce que la valeur de decalage est fixe. 

10. Dispositif selon la revendication 8, carac- 
terise en ce que la valeur de decalage est variable. 

11. Dispositif selon 1 ' une quelconque des reven- 
dications 3 a 10, caracterise en ce que les informations 
de reference comprennent des informations de definition 
des autorisations d'acces a 1 ' une ou 1 ' autre des zones (5) 
de stockage de donnees accessibles par le micro-contrdleur 
(2). 

12. Dispositif selon 1 * une quelconque des reven- 
dications precedentes, caracterise en ce que son fonction- 
nement est controle par le micro-controleur ( 2 ) par 
1 • intermediaire d * un bloc de supervision (18) qui a pour 
role d' assurer 1' activation ou la desactivation de ce 
dispositif en fonction des requetes du micro-controleur, 

13. Dispositif selon 1 * une quelconque des 
revendications precedentes, caracterise en ce que les 
moyens de controle ( 6 ) sont integres dans le micro-contro- 
leur { 2 ) . 

14. Dispositif selon 1 ' une quelconque des 
revendications 1 a 12, caracterise en ce que les moyens de 
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controle ( 6 ) sont integres dans les moyens de memorisation 
(3). 

15. Dispositif seion 1 ' une quelconque des 
revendications 1 a 12, caracterise en ce que les moyens de 
controle (6) sont disposes comme un peripherique externe. 
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